Neben der Zunahme von Cyberbedrohungen steigern geopolitische Unsicherheiten die Bedeutung von Datenschutz und Datensicherheit. Unternehmen benötigen robuste Backup- und Wiederherstellungs-Strategien, um die Betriebskontinuität zu sichern. Nachdem die USA als verlässlicher Partner auszufallen scheinen, benötigen Firmen europäische Data-Protection-Alternativen.

Dr. Ralf Wintergerst, BitkomUnabhängig davon, wie Unternehmen es betrachten, die Bedeutung von Datenschutz und Datensicherung nimmt nicht ab. Das Risiko von IT-Ausfällen betont die Notwendigkeit regelmäßiger Backup- und Wiederherstellungs-Maßnahmen für alle Arten von Unternehmensdaten. Bedrohung Nummer 1 kommt aus dem Cyberraum: »Deutschland wird täglich digital angegriffen«, sagt Bitkom-Präsident Dr. Ralf Wintergerst. »Die Grenzen zwischen Cybercrime und hybrider Kriegsführung, zwischen privaten und staatlichen Akteuren sind inzwischen fließend.«

Im Zuge der fortschreitenden Digitalisierung und globalen Vernetzung steigt die Relevanz der Cybersicherheit kontinuierlich. Insbesondere der anhaltende Konflikt zwischen Russland und der Ukraine hat die Sicherheitslage in den letzten drei Jahren verschärft. Für Unternehmen – egal welcher Größen – bedeutet dies, ihre Daten stehen unter Beschuss.

Keine Firma ist klein genug, um nicht doch von einer Cyberattacke betroffen zu sein. Daher kann es nur einen Weg geben, sich proaktiv vorzubereiten. Das heißt, Sicherheitsmaßnahmen zu ergreifen und mit einer Datensicherungsstrategie dafür zu sorgen, dass im Schadensfall Daten zuverlässig wieder herstellen lassen.

Stefan Utzinger, NovastorIn der Umsetzung gibt es noch viel zu tun, doch laut Stefan Utzinger, Geschäftsführer bei NovaStor versteht der Mittelstand allmählich in der Breite die Gefahr von Cyberangriffen. Das heißt, auch der Geschäftsführung sei klar, dass es keinen 100%igen Schutz gibt. »Dadurch wird die Datensicherung und insbesondere der Restore immer wichtiger«, sagt Utzinger. »Diese müssen in Notfallsituationen einwandfrei und schnell funktionieren.« Auch reift die Erkenntnis, sich im Notfall um Hilfe zu bemühen.

Anzeige

Modernisierung und Anpassung der Backup-Systeme

Laut dem »State of Backup and Recovery Report 2025« von Kaseya/Unitrends sind viele der bestehenden Backup-Lösungen veraltet und haben sich seit Jahren nicht weiterentwickelt. Dies mache sie anfällig für Cyberbedrohungen, aber auch ineffizient in der Handhabung der heutigen Datenmengen und -arten. Verschieden Studien belegen zudem, dass ein signifikanter Anteil der IT-Experten den Fähigkeiten ihrer Backup-Systeme nur bedingt vertrauen. Marktbeobachter gehen zudem davon aus, dass der Anteil an Firmen mit ein funktionstüchtigen Notfallplan bestenfalls bei 50 Prozent liege. Dem Kaseya-Report zufolge testen nur 25 Prozent ihr Disaster-Recovery einmal pro Jahr oder seltener, was die mangelnde Vorbereitung ebenfalls unterstreicht.

Backup-Strategie muss umfassend sein

Eine moderne Datensicherungsstrategie setzt auf möglichst wenig Programme. Die Backup-Software soll sich sowohl zur Sicherung von physischen und virtuellen Systemen eignen wie auch für Cloud-Strukturen sowie Edge-Umgebungen. Wobei es in der Praxis weniger um die Anzahl der Produkte ankommt, sondern auf eine einheitliche Management-Oberfläche.

Als Nummer-1-Trend gilt die Stärkung der Cyber-Resilienz. Präventive Sicherheitsmaßnahmen sollen Schwachstellen minimieren und Angriffe möglichst vermeiden. Ziel ist, Ausfallzeiten so kurz wie möglich zu halten, damit Geschäftsprozesse schnell wieder anlaufen können.

Backup-Lösungen spielen daher eine zentrale Rolle in der Cyber-Resilienz-Strategie. Im Kern sorgen sie dafür, dass Daten nicht verloren gehen, sondern sich möglichst schnell und vor allem sicher wiederherstellen lassen. Dabei ist es egal, ob die Bedrohung von einem Cyberangriff ausgelöst wurde, von einer Datenlöschung (versehentlich oder absichtlich), einem Brand oder einer Naturkatastrophe.

Regelmäßige Backups stellen sicher, dass Unternehmen immer auf eine aktuelle Kopie ihrer Daten zurückgreifen können. Gleichzeitig lassen sich auch Lösegeldforderungen bei Ransomware-Angriffen umgehen – sofern die Backups nicht selbst betroffen sind. Deswegen empfehlen Experten die Sicherheit der Daten während der Übertragung und Speicherung durch Verschlüsselungsmethoden zu gewährleisten und die Sicherungen durch Immutable-Maßnahmen unveränderbar zu machen.

Alle Vorkehrungen sind aber nur wirksam, wenn Backup- und Wiederherstellungsprozesse regelmäßig getestet werden, um die Effektivität der Cyber-Resilienz-Strategie zu bewerten. Nur so lassen sich Schwachstellen identifizieren und die Prozesse vor einem tatsächlichen Vorfall verbessern. Letztendlich geht es darum, wie schnell, wie sicher und wie unabhängig sich Daten wiederherstellen lassen.

Ständig neue Baustellen: Alle US-Hersteller auf dem Prüfstand

Mit Broadcom/VMware hat sich im vergangenen Jahr eine große Baustelle in den IT-Abteilungen aufgetan. Nachdem Vmware-Produkte zum Teil abgekündigt wurden bzw. massive Preiserhöhungen erlebten, haben viele Mittelständler Virtualisierungs-Alternativen geprüft, die sich nun in der Pilotierungs- bzw. finalen Umsetzungsphase befinden. Dies hat auch Auswirkung auf die Datensicherung, denn IT-Manager müssen sicherstellen, dass der neue Hypervisor auch von der Backup-Software unterstütz wird. Dieser Prozess ist noch im vollen Gange und schon öffnet sich die nächste Baustelle: US-Anbieter.

Angefangen hat das Dilemma mit Entlassungen in vielen Behörden, wie unter anderem der Aufsichtsstelle für das »EU-US Data Privacy Framework« (DPF). Diese Regelung sollte die Überwachung durch US-Geheimdienste regulieren und europäischen Bürgern einen angemessenen Datenschutz garantieren. Nun ist das bestehende Datentransferabkommen zwischen der USA und der EU gefährdet. Datenschutzexperten gehen davon aus, dass dies so nicht weitergeführt werden kann und die EU-Kommission gesetzlich dazu verpflichtet ist, die Angemessenheit des Datenschutzniveaus für unwirksam zu erklären. Die Folgen für die Wirtschaft wären erheblich.

Bisher hält das abkommen aber. Das Gericht der Europäischen Union (EuG) hat Anfang September eine französische Klage gegen den in den USA eingerichteten Data Protection Review Court (DPRC) abgewiesen. Für Unternehmen schafft dies zunächst Rechtssicherheit. Es ist jedoch abzuwarten, ob eine mögliche Revision vor dem EuGH nicht anders beurteilt wird. Auch wird mit weiteren Klagen direkt gegen das DPF gerechnet.

BaaS und SaaS stolpern über US-Cloud-Act

Beim Datenschutz kann man sich vermutlich noch mit den Standardvertragsklauseln behelfen, beim US-Cloud-Act wird es nicht so einfach. Dieses US-Gesetz ermöglicht es US-Behörden auf Daten zuzugreifen, die von US-Unternehmen gespeichert wurden, unabhängig davon, ob die Daten auf Servern in den USA oder im Ausland gespeichert sind. Bisher wurde dieses bestehende Problem mit Argumenten, »was soll schon passieren« heruntergespielt. So einfach können es sich Geschäftsleitungen und IT-Verantwortliche nicht mehr machen.

Wurde bisher vor allem über den Einsatz von Hyperscalern gesprochen, muss die Diskussion auf Backup- und Storage-as-a-Service ausgeweitet werden sowie auf Systeme, die über Abo- und Pay-as-you-go-Modelle von US-Herstellern gemietet werden. Die Speicher und Server befinden sich nach wie vor im Besitz des jeweiligen US-Herstellers und sind daher ebenfalls direkt vom US-Cloud-Act betroffen. Dabei ist es egal, ob die Speicher beim Anbieter oder lokal im Rechenzentrum betrieben werden.

Technologische Abhängigkeit wird zum Geschäftsrisiko

Die USA erweisen sich seit dem Regierungswechsel als nicht mehr verlässlicher Partner, der seine Hoheit über IT-Prozesse als politisches Druckmittel nutzen kann und wird, wie zuletzt die Ukraine erleben musste. »Die US-Administration setzt auch wirtschaftlich unabhängige Unternehmen unter Druck, sich den politischen Zielen entsprechend zu verhalten«, sagt Novastor-Chef Utzinger.

Jedes System, auch Backup-Software, kann heute vom Hersteller »ausgeschaltet« oder »manipuliert« werden – diese Diskussion gab es schon mit Kaspersky. »Heute muss das auf US-Amerikanische Hersteller ausgedehnt werden«, mahnt Utzinger. »Wenn große US-Betriebssystem- oder Backup-Software-Hersteller den Stecker ziehen, geht kein Teams, kein E-Mail und auch kein Backup mehr in den Unternehmen. Daher darf eigentlich kein Entscheider mehr auf US-Lösungen setzen, wenn es europäische Alternativen gibt.«

Anmerkung der Redaktion:

Karl Fröhlich, speicherguide.deDie Aussage von Stefan Utzinger mag drastisch wirken – doch sie bringt ein reales Risiko auf den Punkt, das vielen Verantwortlichen im Mittelstand noch zu wenig bewusst ist. Während der Umstieg von Office auf Alternativen schon als unliebsames Großprojekt gilt, ist der Wechsel einer Backup-Software ungleich tiefgreifender: Datensicherungslösungen sind technologisch verflochten mit der gesamten IT-Landschaft – vom Hypervisor über das Storage bis zur Benutzerverwaltung. Wer hier den Anbieter wechselt, muss neben der Software auch Prozesse, Integrationen und nicht selten das Sicherheitskonzept überarbeiten.

Diese Komplexität führt dazu, dass bestehende Systeme selbst dann weiterbetrieben werden, wenn sie technisch oder geopolitisch problematisch sind. Doch gerade diese strategische Trägheit kann gefährlich werden. Denn was nützt die beste Cyberabwehr, wenn im Notfall niemand mehr Zugriff auf die Daten hat – weil ein Anbieter entscheidet, den »Stecker zu ziehen«?

Dass wir uns auf die USA als verlässlichen Partner in Technologiefragen nicht mehr blind verlassen können, bleibt für viele eine unbequeme Erkenntnis. Jahrzehntelang galten US-Anbieter als stabil und politisch berechenbar. Doch diese Gewissheiten geraten zunehmend unter Druck – durch gesetzliche Regelwerke und konkrete politische Reaktionen.

So hat die EU im September 2025 Google mit einer Geldbuße von fast drei Milliarden Euro belegt – wegen Wettbewerbsverstößen im AdTech-Bereich. Präsident Trump reagierte prompt, bezeichnete die Strafe als »very unfair« gegenüber US-Firmen und drohte offen mit Strafzöllen auf EU-Waren.

Diese Reaktion zeigt: Für viele Unternehmen ist der Gedanke, dass sich geopolitischer Druck unmittelbar auf IT-Infrastruktur und Business-Software auswirken kann, noch ungewohnt. Doch es handelt sich längst nicht mehr um einen fernen Worst Case – sondern um eine reale Entwicklung, die bereits begonnen hat. IT-Entscheider sollten diese Risiken in ihren Backup- und IT-Strategien aktiv berücksichtigen.